Utbildning i säkerhetsmedvetenhet kan vara torr och ointressant om den inte är välgjord. Ett dåligt utbildningstillfälle kan vara avskräckande, med anställda som är uttråkade och oförmögna att förstå de problem som orsakas av cybersäkerhetsattacker. Säkerhetsmedvetenhet för anställda är dock ett måste i en tid då angripare använder mänskligt beteende för att utföra sina attacker. När ett företag utvecklar ett program för säkerhetsmedvetenhet tar de sig an ett kritiskt område i modern verksamhet - att hantera hot mot cybersäkerheten. Men för att programmet ska bli en framgång måste de anställda engageras i hur allvarliga hoten mot cybersäkerheten är för ett företag.
Idéer för att se till att utbildningen i säkerhetsmedvetenhet tas på allvar
Cyberkriminella försöker dra full nytta av mänskligt beteende. Programmen för säkerhetsmedvetenhet måste därför också använda mänskligt beteende som grund för att engagera personalen så att de tar utbildningen på större allvar. Här är några tips för att se till att din utbildning i säkerhetsmedvetenhet blir en succé:
Ge medarbetarna möjlighet att hantera frågor om cybersäkerhet med enkel incidentrapportering
Forskarna Dupuis och Renaud har visat att "rädsla, osäkerhet och tvivel" (FUD) kan vara avskräckande och ineffektivt när det gäller att ändra de anställdas säkerhetsbeteende. FUD kan till och med vara kontraproduktivt som taktik vid utbildning i säkerhetsmedvetenhet, eftersom det skapar oro hos de anställda. Rädsla bör inte vara drivkraften i en organisation, oavsett nivå. I stället för att skrämma de anställda bör man belöna positivt säkerhetsbeteende och uppmuntra till enkel och smidig rapportering av säkerhetsincidenter. Ett system för rapportering av säkerhetsincidenter som gör det möjligt att snabbt och enkelt rapportera säkerhetsfrågor kan stärka de anställda och minska rädslan. "Click and Report"-system förändrar beteendet genom att göra saker och ting enkla och positiva. Ett rapporteringssystem som är integrerat i företagets process för att rapportera, pröva, upptrappa och reagera blir ett verktyg för en utökad säkerhetskultur i en organisation och gör den anställde till en central del av den kulturen.
Gör cybersäkerheten integrerad, personlig och kulturell
Individer är måltavlor för cyberbrottslingar. Även om bedragarna försöker stjäla stora mängder personuppgifter eller hacka ett företags IT-system, börjar de på individnivå. Phishing, spear-phishing och social ingenjörskonst är alla taktiker som sätter den anställde i centrum för en cyberattack. Utan insatser från en målgrupp skulle många cyberattacker falla platt till marken. På samma sätt som cyberbrottslingar riktar sig till enskilda personer bör utbildning i säkerhetsmedvetenhet vara riktad och personlig.
Utbildning i säkerhetsmedvetenhet är mer framgångsrik om den är personlig: människor reagerar mer positivt på något de kan relatera till. Beteendemodeller, t.ex. beteendeekologi, ger insikter om mänskligt beteende som kan användas för att göra utbildningen i säkerhetsmedvetenhet framgångsrik. Se till att utbildningen baseras på en anställds typiska arbetsprofil, uppgifter och risknivå. Ett personligt anpassat program bidrar till att utveckla en mer integrerad säkerhetskultur som överbryggar olika roller inom en organisation. I teorin om spelbaserat lärande har man identifierat "erfarenhetsbaserade" spel, t.ex. rollspel och erfarenhetsrelaterade spel, som mer framgångsrika när det gäller inlärning. Om en anställd är mer mottaglig för lärande kommer de att se allvaret i hoten mot cybersäkerheten utan att behöva använda negativa, rädslobaserade lektioner.
Gör utbildning i säkerhetsmedvetenhet till en lagsport
Forskning inom områden som social kognitiv teori har funnit kopplingar mellan mänskligt lärande och beteende som påverkas av sociala miljöer, inklusive andras reaktioner och godkännande. Spel om säkerhetsmedvetenhet kan utgöra grunden för en positiv inlärningsupplevelse. Prova att skapa team av anställda som agerar tillsammans för att omintetgöra metoder för cyberattacker. Lagmiljön kan bidra till att uppmuntra till lärande och visa personalen hur allvarliga hoten mot organisationens cybersäkerhet är.
Gör utbildning i säkerhetsmedvetenhet till en del av en pågående företagskultur
Forskning från analytikern Forrester visar att framgångsrik utbildning i säkerhetsmedvetenhet måste vara användarcentrerad och fokusera på att ändra beteenden. Gå längre än att skapa en säkerhetskultur och införliva säkerhet i den allmänna företagskulturen genom att automatisera kampanjer för säkerhetsmedvetenhet. Automatiserade kampanjlösningar för medvetenhet kan användas för att skapa och hantera effektiva, pågående utbildningskampanjer för cybersäkerhet. Genom att använda automatisering för att leverera utbildning om säkerhetsmedvetenhet gör du den till en del av ett inbäddat system som levereras i hela organisationen. Automatisering gör det lättare att leverera och finjustera säkerhetsmedvetenhet och bäddar in säkerhetskulturen i företagskulturen, vilket gör den till en viktig del av de anställdas uppdrag och inte bara till en eftertanke. Genom att göra säkerhet till en integrerad del av organisationens förväntningar på de anställdas beteende bekräftas ett gott säkerhetsbeteende som en viktig och erkänd del av organisationen.
Att ändra långvariga säkerhetsvanor är en allvarlig sak
Nyckeln till ett cybersäkert företag är att personalen engagerar sig för att hjälpa till att minska cyberhot. Att göra personalen säkerhetsmedveten innebär att man måste ändra på ofta långvariga vanor. För att göra detta krävs att personalen engagerar sig och förstår hur viktig säkerhetsutbildningen är för organisationens framgång. Mätvärden och återkoppling kan vara en fördel när det gäller att återge hur framgångsrika och seriösa säkerhetsutbildningsprogrammen är. Metriker är användbara både för att de anställda ska kunna se framstegen och för att organisationen ska kunna justera programmen för att öka deras framgång. Om din organisation använder en automatiserad lösning för medvetenhetskampanjer kommer detta system också att kunna upprätthålla en revision av organisationens användning av säkerhetsmedvetenhetsutbildning, vilket är en viktig resurs för att visa att lagstiftningen följs.
Säkerhetshoten är allvarliga, det visar statistiken. Men rädsla motiverar inte de anställda och får dem inte att inse konsekvenserna av sina handlingar. Ett väl genomtänkt, väl administrerat och fortlöpande utbildningsprogram för säkerhetsmedvetenhet, som engagerar de anställda i ett företagsetiska synsätt, kommer att få dem att ta säkerheten på allvar.